在預覽版中,Microsoft Purview 網路資料安全性可讓組織從第三方網路安全性解決方案擷取和分類 HTTP 和 HTTPS 網路流量。 這項功能會使用Microsoft Purview 資料外洩防護 (DLP) 功能,以及您已在其他 Microsoft Purview 原則中使用的分類器,以及預覽) (收集原則,讓您深入瞭解與生成式 AI 和其他未受控雲端應用程式共用的敏感性數據。
透過網路資料安全,您可以識別透過以下互動共用的敏感項目:
- 透過瀏覽器、應用程式和增益集(例如 Chat GPT、Gemini 和 Claude)與生成式 AI 互動。
- 上傳到未經批准的雲存儲提供商的文件,包括 Dropbox、Box 和 Google Drive。
- 與雲端電子郵件供應商 (例如 Gmail) 共用的電子郵件和檔案附件。
- 透過線上表單服務(包括 Google Forms)提交表單。
- Facebook 和 X 等常見服務上的社交媒體帖子。
開始之前
如果您是 Microsoft Purview 收集原則、Microsoft Purview 隨用隨付計費模型或 Microsoft Purview DLP 的新手,您應該熟悉下列文章中的資訊:
授權
如需授權的相關資訊,請參閱
網路資料安全性需要 E5 每個基座授權和隨用隨付計費模式。 如果您的組織沒有針對 Microsoft 365 租用戶設定隨用隨付,您必須先設定該設定,才能使用網路數據安全性功能。 隨用隨付計費模型可讓您支付您使用且已啟用的 Microsoft Purview 功能費用。 此模型設計靈活且經濟高效,可讓您根據需要擴大或縮小使用規模。
如需設定隨用隨付計費模型的相關資訊,請參閱 為新客戶啟用 Microsoft Purview 隨用隨付功能。
網路資料安全性的運作方式
從廣泛的觀點來看,Microsoft Purview 網路資料安全性解決方案結合了兩個元件:
網路安全解決方案
網路資料安全性解決方案會將您的安全存取服務邊緣 (SASE) 解決方案直接整合到 Microsoft Purview 中。 網路安全性解決方案會監視網路流量,並將資料傳送至 Microsoft Purview。 Microsoft Purview 會使用您在其他 Microsoft Purview 原則中使用的相同分類器來分類數據。 網路安全性解決方案會以非同步方式將數據傳送至 Microsoft Purview。
如需支援哪些 SASE 解決方案的詳細資訊,請參閱 Microsoft Purview 資料外洩防護整合頁面。
Microsoft Purview
您可以在 [DLP 設定 ] [整合] 索引標籤中設定 Microsoft Purview 與網路安全性解決方案之間的整合。此整合會在網路安全性解決方案與 Microsoft Purview 之間建立雙向通訊通道。
接下來,設定 收集原則 ,以定義您想要網路安全性解決方案收集並傳送至 Microsoft Purview 的網路數據條件、活動和數據源。 如需如何建立網路資料安全性收集原則的詳細資訊,請參閱 案例 1 偵測透過網路 (預覽) 與非受控雲端應用程式共用的敏感性資料 。
Microsoft Purview 會將收集原則設定傳送至 SASE 解決方案,而 SASE 解決方案會將敏感性資料相符專案傳送至 Microsoft Purview 以非同步方式進行分類。 如果您在集合原則中設定內容擷取,則會擷取使用者與 AI 應用程式之間發生的交談,並傳送至 Microsoft Purview。
資料分類之後,可在 DSPM for AI 的活動總管和活動總管中使用。
設定 Microsoft Purview 與網路安全性解決方案之間的整合之後,請允許最多 24 小時,讓您的收集原則散發至網路安全性解決方案,並顯示第一個資料。 一旦這兩個服務完全相互通訊,從用戶端到網站或雲端應用程式的要求相關資料最多可能需要 30 分鐘,才會出現在稽核記錄和活動總管中。
支援的網路資料安全收集原則設定
設定的 Microsoft Purview 端是透過收集原則來完成。 以下是公開預覽中支援的組態選項:
- 條件 - 您可以在網路資料安全性收集原則中使用的條件,與您可以在其他 Microsoft Purview 原則中使用的條件相同。 例如,您可以使用 [內容包含>敏感性資訊類型] 條件來分類與生成式 AI 和其他非受控雲端應用程式共用的敏感性專案。
注意事項
網路資料安全性不支援檔案大小和副檔名條件。
-
活動 - 網路資料安全支援四項活動:
- 發送到雲或 AI 應用程序或與雲或 AI 應用程序共享的文本。
- 上傳到雲端或 AI 應用程式或與雲端或 AI 應用程式共用的檔案。
- 從雲端或 AI 應用程式接收的文字。
- 從雲端或 AI 應用程式下載的檔案。
注意事項
支援的活動可能因整合的 SASE 解決方案而異。 請洽詢您的 SASE 解決方案提供者,以取得支援活動的詳細資訊。
-
資料來源 - 這些是端點裝置與之通訊的位置。
- 未受控雲端應用程式 - 網路資料安全性收集原則支援適用於 Microsoft Defender for Cloud Apps 雲端應用程式目錄中的所有來源,其中包含超過 34,000 個可探索的雲端應用程式。
- 調適型範圍 - 所有歸類為生成式 AI 的應用程式。
Microsoft Purview 適用於 AI 的資料安全性態勢管理 的預設原則
Microsoft Purview 適用於 AI 的資料安全性態勢管理 (DSPM for AI) 提供建議,協助監控與生成式 AI 應用程式的通訊。 選取 [將深入解析擴展到 AI 應用程式互動中的敏感性資料] 建議,以建立名為DSPM for AI - 偵測透過網路與 AI 共用的敏感性資訊。 建立之後,您可以編輯此預設原則,以取得網路資料安全性,就像編輯任何收集原則一樣。
支援的網路通訊協定
在預覽版中,網路資料安全性支援將透過 HTTP 和 HTTPS 通訊協定從端點裝置傳送至網站、雲端應用程式和生成式 AI 的流量進行分類。
存取網路資料安全資料
來自網路資料安全性的資料會顯示在活動總管和適用於 AI 的資料安全性態勢管理活動總管事件中。
活動總管
在活動總管中,您可以篩選設定為網路的強制平面。 此篩選器會顯示網路資料安全收集原則產生的分類事件。
計費模式
網路資料安全性會使用 要求 作為隨用隨付計費的計量單位。 請求是從裝置或瀏覽器對網站或 API 進行的每個網路呼叫。 此定義不包括對請求的回應。 如需網路資料安全性隨用隨付計費的詳細資訊,請參閱 使用隨用隨付定價和要求的其他 Microsoft Purview 解決方案。
範例如下:
| 活動 | 資料類型 | 範例 |
|---|---|---|
| 發送到雲或 AI 應用程序或與雲或 AI 應用程序共享的文本 | 內嵌傳輸的人類可讀字串 | - 提交包含文字資訊 的表單 - 將原始文字或提示傳送至生成式 AI - 電子郵件 正文 - 將 JSON 資料傳送至 API |
| 上傳至雲端或 AI 應用程式或與雲端或 AI 應用程式共用的檔案 | 位元組流,包括基於文本的文件、二進制文件、txt 文件、源代碼、文檔、圖像、視頻、.exe、.pdf、存檔文件 | - 將個人資料圖片上傳到社交媒體 - 將文檔或 .pdf 文件作為電子郵件附件 發送 - 與生成式 AI 共享文檔 - 將文檔或 .zip 文件傳輸到雲存儲解決方案 |